Suite à la disparition des macros dans Microsoft Office (s’ouvre dans un nouvel onglet) fichiers, il semble qu’une autre méthode alternative gagne en popularité, selon de nouveaux rapports.
Les chercheurs en cybersécurité de Deep Instinct ont découvert une augmentation de l’utilisation de Microsoft Visual Studio Tools pour Office (VSTO) parmi les cybercriminels, car ils créent des compléments Office malveillants qui les aident à atteindre la persistance et à exécuter du code malveillant sur les terminaux cibles.
Ce que les pirates font ici, c’est créer des logiciels malveillants basés sur .NET (s’ouvre dans un nouvel onglet)puis en l’intégrant dans un complément Office, une pratique qui nécessite que l’auteur de la menace soit un peu plus qualifié.
Contournement de l’antivirus
La méthode n’est pas nouvelle mais n’était pas aussi populaire lorsque les macros Office dominaient. Maintenant que Microsoft a effectivement éliminé cette menace, les menaces construites par VSTO émergent en plus grand nombre. Ces compléments peuvent être envoyés avec des documents Office, ou hébergés ailleurs et déclenchés par un document Office envoyé par les attaquants.
En d’autres termes, la victime doit toujours télécharger et exécuter un fichier Office et le complément pour être infectée, de sorte que le phishing jouera toujours un rôle majeur. Cela étant dit, le vecteur d’attaque est toujours assez dangereux car il est capable de contourner avec succès les programmes antivirus et autres services de protection contre les logiciels malveillants. En fait, Deep Instinct a pu créer une preuve de concept (PoC) fonctionnelle qui a livré la charge utile Meterpreter au point de terminaison. La vidéo de démonstration du PoC est disponible sur ce lien (s’ouvre dans un nouvel onglet). Les chercheurs ont déclaré qu’ils avaient été obligés de désactiver Microsoft Windows Defender uniquement pour enregistrer le processus.
Meterpreter, un produit de sécurité utilisé pour les tests de pénétration, était facile à détecter pour les produits antivirus, cependant, tous les éléments du PoC n’ont pas été détectés, ont-ils déclaré.
En conclusion, les chercheurs s’attendent à ce que le nombre d’attaques construites par VSTO continue d’augmenter. Ils s’attendent également à ce que les États-nations et d’autres acteurs « de haut calibre » adoptent également la pratique.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)